Cookies: Seu site está adequado à LGPD?
Atualmente, grande parte dos sites disponíveis na internet utilizam a tecnologia de navegação denominada “cookies”. Cookies são pequenos arquivos de texto criados por sites visitados e salvos no dispositivo do usuário, com vistas a recordar o status de conexão e algumas informações sobre o internauta. Por meio desta tecnologia, por exemplo, é possível que o site mantenha itens adicionados em um carrinho de compras, lembre informações de login, personalize a exibição da página e até mesmo crie perfis comportamentais dos usuários para fins de publicidade direcionada.
Os cookies podem armazenar diversas informações sobre a navegação e os hábitos de utilização da internet dos visitantes de um determinado website, que incluem páginas acessadas, termos pesquisados, produtos comprados, preferências pessoais, dispositivo utilizado e informações utilizadas para preencher formulários, como logins e senha, e-mail, endereço e até dados de cartões de pagamento. Os cookies atribuem um identificador único a cada usuário do site, que contém todas as informações coletadas sobre ele.
Nesse contexto, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD) aplica-se também à utilização de cookies em sites, uma vez que tal normativa regula o tratamento de dados pessoais em todo o território nacional, inclusive nos meios digitais. Embora não faça menção específica aos cookies, a LGPD traz um conceito abrangente de dados pessoais, que são definidos como qualquer informação relacionada a uma pessoa natural identificada ou identificável, o que inclui os identificadores por via eletrônica. Nesse sentido, cookies são considerados dados pessoais, uma vez que por meio deles é possível identificar os usuários – pessoas naturais – de determinado site. Portanto, sites que utilizam esta tecnologia necessitam estar adequados aos parâmetros e exigências da LGPD.
Em primeiro lugar, o armazenamento de cookies deverá estar lastreado em uma das denominadas “bases legais”, que são as hipóteses expressa e taxativamente previstas na LGPD que autorizam e dão fundamento ao tratamento de dados pessoais. É importante observar que caso a base legal eleita para o tratamento de cookies seja o consentimento do usuário, o site deverá ser adequado de modo a garantir que este consentimento será coletado conforme os parâmetros legais, com a possibilidade do usuário rejeitar o armazenamento de cookies em seu dispositivo e, ainda, revogar seu consentimento.
Sobre o tema, é interessante citar a decisão da Corte de Justiça da União Europeia no caso envolvendo a empresa de jogos on-line Planet49 GmbH, que entendeu que o silêncio ou inatividade do usuário, assim como pop-ups com caixas de seleção pré-assinaladas, não configuram consentimento válido para a utilização de cookies[1].
No mais, os usuários também deverão ser previamente informados sobre a coleta de cookies ao acessar o site. Isso porque a transparência é um dos pilares da LGPD, que prevê a garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento de seus dados pessoais. Assim, recomenda-se que sites que utilizam cookies incluam em suas políticas de dados pessoais informações sobre quais dados serão coletadas por meio dos cookies, as finalidades de sua utilização, se os cookies serão compartilhados, por quanto tempo serão armazenados e como podem ser excluídos.
Sobre o dever de transparência, cabe citar que, em fevereiro de 2022, a Superintendência para Orientação e Defesa do Consumidor do Procon do Mato Grosso do Sul autuou uma rede de lojas de materiais de construção, acabamento, decoração, jardinagem e bricolagem por constatar irregularidades na política de privacidade de seu site, uma vez que não haveria exatidão e clareza na exposição de dados criptografados de cookies expostos a consumidores[2].
Por fim, é importante esclarecer que, diante da ausência de previsão legal específica na LGPD, a utilização de cookies poderá ser objeto de futura regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD) no exercício de sua competência normativa.
[1] Disponível em: https://curia.europa.eu/juris/document/document.jsf;?&docid=218462&doclang=EN&cid=8679428.
[2] Disponível em: https://www.procon.ms.gov.br/procon-ms-autua-leroy-merlin-privalia-james-e-centauro-por-infracao-a-lgpd/.